第一篇:信息安全规划——防泄密系统分册v1.0
信息管理中心
公司信息安全规划
——防泄密系统规划分册
版本:V1.0.0
编写:周义 审核:
批准:信息化工作指导委员会
文件编号:
公司信息管理中心
文件名--目录
目 录
1.防泄密系统需求概述...........................................................................................................2
1.1.什么是数据防泄密....................................................................................................2 1.2.公司数据泄漏风险分析............................................................................................2 1.3.需要防护的文件生命周期........................................................................................3 1.4.防泄密系统面临的挑战............................................................................................3 2.各种防泄密手段及其优缺点...............................................................................................4
2.1.数据加密....................................................................................................................4 2.2.设备控制....................................................................................................................4 2.3.监测............................................................................................................................5 2.4.审计............................................................................................................................5 3.公司防泄密系统总体规划...................................................................................................6
3.1.涉密人群划分............................................................................................................6 3.2.公共防护措施............................................................................................................6 3.3.高、中涉密人群防护措施........................................................................................7 3.4.普通涉密人群防护措施............................................................................................8
公司信息管理部管理中心 Tel:010-589 Fax:010-5898 I
文件名– 版本说明
1.防泄密系统需求概述
1.1.什么是数据防泄密
对公司公司而言,在面临来自外部的病毒、木马、网络攻击等种种网络安全威胁时,来自内部的数据泄露是一个更需要重视的问题,目前公司存在数据泄密的风险,而这些风险将会让企业面临安全、知识产权、财产、隐私和法规遵从方面的威胁。在这些数据泄露情况中,大部分情况下都是员工在无意中泄露出去的,但还有一些则是由员工有意为之。一个使用没有安全防护的笔记本电脑的移动办公人员,可能有意或无意地通过无线网络泄漏公司机密信息。与此同时,大量支持USB连接的设备不断涌现,也使得企业的机密信息很可能便被装进U盘或者移动硬盘等方便地带走。当发生数据泄密时,在安全专家忙于恢复敏感数据和修补泄密漏洞期间,企业的时间、资金和声誉都会遭受到严重的威胁。企业安全专家总处于一场没有终点的战争中:当原来的泄密漏洞刚刚得到控制,新的数据泄密情况却又伴随着其他众多设备的使用而频繁出现。
企业信息化目的是为了信息和数据的共享,而数据的生命周期中包括存储(生成数据的服务器和存储设备)、使用(数据的使用者对数据进行操作)和传输(数据从一个地点传送到到另外一个地点)三个基本的生命过程。
自2004年以来,数据泄漏事件正以1700%的速度增长,平均每起数据泄漏造成的资产损失达到4百80万美金。
数据泄露造成的根源来自外部黑客攻击和内部数据泄漏,据FBI的统计,70%的数据泄漏是由于内部人员造成的,而这些内部人员大都是有权限访问这些数据,然后窃取滥用这些数据。
数据防泄漏就是要保护企业的机密信息不被非法的存储、使用和传输。
1.2.公司数据泄漏风险分析
概括起来,无论是黑客攻击、还是内部故意泄露,数据泄漏有以下三个途径造成: 1)物理途径——从桌面计算机、便捷计算机和服务器拷贝数据到USB,CD/DVD和移动硬盘等移动存储介质上;通过打印机打印带出公司或者通过传真机发送。
2)网络途径——通局域网、无线网络、FTP、HTTP、HTTPS发送数据,这种方式可以是黑客攻击“穿透”计算机后造成,也可能是内部员工从计算机上发送。
公司信息管理部管理中心 Tel:010-589 Fax:010-5898 2 文件名
3)应用途径——通过电子邮件、IM即时信息、屏幕拷贝,P2P应用或者“特洛伊木马”窃取信息。
1.3.需要防护的文件生命周期
对于公司的敏感信息,从文件开始创建(获取)一直到文件归档直至作废,这些敏感信息都应该处于防泄密系统的防护之下,因此,这就要求我们的防泄密系统具备从文件诞生开始就提供防护的能力。
1.4.防泄密系统面临的挑战
在设计防泄密系统时,我们将面临以下各种挑战: 如何防止某些员工将敏感信息加密、分割后发送出去?
如何合理控制哪些移动介质可以在公司内部使用,保证在完成数据共享的同时保障数据的安全性?
如何避免移动介质或电脑丢失导致的数据泄漏问题? 如何动态地对PDM/PLM生成的数据文件进行保密处理? 如何避免数据通过Web、邮件的方式发送出去?
公司信息管理部管理中心 Tel:010-589 Fax:010-5898 3 文件名
如何知道是否有人在通过网络发送敏感数据?
如何避免员工通过打印、屏幕拷贝、无线、蓝牙等方式把数据传出去?
如何确保数据安全的合规性?数据隐私法规日趋严格,这给 IT 部门以及安全人员和最终用户带来了巨大的考验,甚至可能导致业务中断。各种规模的企业都必须确保其所有用户的高效,同时还要达到日益提高的法规遵从要求。
2.各种防泄密手段及其优缺点
当前,流行的防泄密手段主要包括加密、设备控制、监测审计三种类型,这三种手段各自都有各自的优缺点和适用场景:
2.1.数据加密
数据加密是防泄密的主要手段之一,它的工作原理是通过加密软件对涉密人员的硬盘上的数据进行加密,只能通过相应的加密软件对数据进行解密后,才可以阅读里面的信息,否则,即使文件被泄露出去,没有加密软件和相关密钥的,该文件也无法使用。
优点:
防控粒度小,能够控制到文件。即使在其他安全防护措施失效的情况下,通过加密的文件也不用担心遗失。
缺点:
(1)由于加密系统一般会对系统的进程进行接管,可能会导致操作系统或应用程序不稳定,造成系统故障;
(2)另一方面,加密系统一般通过对文件类型的判断来进行加密,因此,不管该类型文件是否具有涉密敏感信息都会加密,会导致日常沟通困难。为解决公司内部的日常沟通,常常需要整个公司内部都部署加密系统客户端,或涉密部门设置专门的解密岗位用于和非涉密部门沟通。人力、财力投入巨大,而且管理成本会很高;
(3)第三方面,如果采用落地加密方式进行强制管控,TFS研发管理平台将会面临挑战,开发人员可能不能通过开发环境直接执行check in、check out操作管理源代码,而需求通过专人来执行这些操作,同时,即便如此也将存在因工作疏忽签入加密后的版本,带来管理风险。
2.2.设备控制
设备控制(包括对网络的控制)是另一种常用的防泄密手段,这种方法是通过对计算机上的IO设备,例如USB、网络接口、串口等进行物理访问控制,切断这些物理路径的
公司信息管理部管理中心 Tel:010-589 Fax:010-5898 4 文件名
数据传播,不允许使用者通过这些物理设备进行为授权数据交换,或者在通过这些物理路径将数据传递到其他主机时对数据进行加密,从而实现防止涉密数据泄漏的目的。
优点:
在本地主机上的数据是没有加密,很好的解决了系统稳定性和兼容性的问题,不会像加密系统那样导致操作系统或应用程序不稳定;
缺点:
大多数的产品无法区分涉密信息和非涉密信息,也是采取一刀切的方法,因此也同样会造成内部沟通困难,或为了解决内部沟通问题而全部部署该系统,造成人力、物力的浪费。
2.3.监测
监测也是防泄密手段的一种,它主要通过对用户使用行为的监测,发现用户操作涉密数据就通过网络等方式向管理员报警的方式实现防泄密的目的。
优点:
本地主机上的数据没有加密,不会出现稳定性和兼容性的问题,同时,该系统只需要部署在涉密人员的计算机上,人力和财力的投入相对较少
缺点:
该措施只是一种事后补救手段,无法阻止涉密信息的外泄。
2.4.审计
审计一般作为防泄密系统的辅助措施,是一种事后的补救措施,用于泄密事件发生后的责任认定和追查。
优点:
本地主机上的数据没有加密,不会出现稳定性和兼容性的问题,同时,该系统只需要部署在涉密人员的计算机上,人力和财力的投入相对较少
缺点:
该措施只是一种事后补救手段,无法阻止涉密信息的外泄。
同时,由于审计信息非常多,可能需要投入大量的人力来检查这些信息,管理成本很高。
公司信息管理部管理中心 Tel:010-589 Fax:010-5898 5 文件名
3.公司防泄密系统总体规划
根据不同的防泄密手段的优缺点,我们必须通过这些手段的综合利用来构建公司的防泄密系统。
Internet数据监测网关数据保护网关高、中涉密用户配置管理员低涉密用户使用RM文S加明密使用RMS加密明文配置库涉密文档发布服务器
3.1.涉密人群划分
高涉密人群 高涉密人群是指公司的开发人员、设计人员、财务人员等这些创建涉密信息或者涉密信息中的部分内容的人员,这些人员往往可以接触到公司涉密信息的原始数据,拥有较高的数据访问权限。
中涉密人群 中涉密人群主要指公司的工程技术人员等使用研发部门提供的产品、方案等涉密信息的人员,这些人员虽然无法获取产品的源代码等高敏感度信息,但是可能具有访问部分研发资料、方案的访问权限。
低涉密人群
员。低涉密人群是指公司其他只能通过公司内部信息发布平台获取相关技术资料的人3.2.公共防护措施
公司信息管理部管理中心 Tel:010-589 Fax:010-5898 6 文件名
公共防护措施主要指部署在网络中的对整个公司网络中的防泄密行为进行管控的措施,主要包括:
数据保护网关
通过在公司网络边界部署安全网关产品,全面检测网络流量,一旦发现机密信息的传输,则进行阻断;
数据监测网关
数据监测网关对通过邮件、Web、即时通讯软件的数据传输进行监控。因为类似于Gmail、Yahoo电子邮件、即时消息、Facebook 等Web 应用程序已经成为信息丢失的主要渠道。数据监测网关能够分析所有的 Internet 通信流量并判断信息是否传播到了不合适的地方。而这些工作又不能增加工作负担本已很重的信息安全团队的工作量。可以实时收集、跟踪和报告整个网络中流通的数据,这样,您便可以知道您的用户和其他机构之间在传输哪些信息以及是通过什么方式传输的。数据监测网关检测通过所有端口或协议传输的 300 多种内容类型,包括办公文档、多媒体文件、P2P、源代码、设计文件、档案、加密文件。因此,它可以帮助公司轻松发现数据中的威胁,并采取措施保护企业免受数据丢失之苦。另外,借助终端用户通知功能,数据监测网关 可以通知用户相关的违反数据保护策略的行为,从而及时纠正这种行为。
3.3.高、中涉密人群防护措施
在构建防泄密系统初期,对高、中涉密人群采用相同的防护措施。
针对这两个人群的防护,为保证系统的稳定性和兼容性,计划采用“数据泄漏保护”和“设备控制”的手段进行管控。主要措施是在客户端上强制安装防泄密软件,实现以下功能:
数据泄漏保护
通过部署先进的数据保护类产品,在所有的客户端实现数据保护,并完成统一管理;
通过数据保护客户端对用户的网络行为进行检测,阻断数据泄漏行为; 通过数据保护客户端对具体应用进行检测,阻断数据泄漏行为; 通过客户端程序,有效的审计各类数据调用行为,并记录全部用户行为; 数据防护产品必须具有同一的管理平台,且只有一个客户端代理,以最大限度的节省系统资源,提升管理效率;
公司信息管理部管理中心 Tel:010-589 Fax:010-5898 7 设备控制
文件名
添加数据控制组件,可以对接入计算机的各类外置设备进行控制,防止机密信息通过这类外接设备发生泄漏;
针对网络打印机、U盘等各类高危外设的使用进行审计并记录; 一旦发现非法使用,可以第一时间阻断数据泄漏行为; 可以和数据保护客户端整合部署和管理,并实现统一报告;
3.4.普通涉密人群防护措施
为保证占公司大多数的普通涉密人群的正常沟通和协作,在防泄密系统实施初期,将不强制普通涉密人群安装防泄密系统,而计划采用安装微软RMS客户端来解读由相关专职部门发布的涉密文档。
对于普通涉密人群需要访问的涉密信息,通过指定的部门和岗位(例如技术管理部)通过相关工具,把相关文件使用RMS加密后发布到适当的位置,只有指定的人员可以开启相关文档,而不能复制、粘贴、修改、打印,即使泄露到企业外部,文档也无法使用。
公司信息管理部管理中心 Tel:010-589 Fax:010-5898 8
第二篇:招商银行网上银行系统防泄密解决方案
招商银行网上银行系统防泄密解决方案
网上银行(Internetbank or E-bank)招商银行通过互联网向客户提供的金融服务,包括传统银行业务和因信息技术应用带来的新兴业务。该业务系统后端数据库存储着大量敏感信息包括:用户的身份、信用卡号、账户密码、手机号码等。这些数据一旦泄露,都可能造成极大的经济损失及客户信息盗用的问题,甚至造成大客户信任度降低、客户流失的严重问题。
招商银行对于网上银行敏感信息的要求在于避免INTERNET用户,通过任何手段获取银联服务器上的机密信息。其核心关注点除了传统的强身份认证、明文传输过程的安全、网络协议安全、应用系统安全等方面外。对于敏感信息内容也做了相应的安全要求,具体体现在以下三个方面:
1、重点关注服务器外出数据是否含有机密信息,无论是HTTP的回复还是数据库格式的数据;
2、支持识别银行账号、手机号、身份证号等对象;且要可灵活配置,同时出现1个对象或多个对象时,则认为有风险。
3、关注严格的安全审计,对存在风险的连接需要及时的通过短信报警的方式通知管理员,以便采取应急响应的措施。
通过在网上银行数据库服务器核心交换机上旁路部署一台深信服下一代防火墙NGAF使用信息防泄露模块解决了网上银行敏感信息防泄漏的问题。
1、定义银行账号、手机号、身份证号的精确识别,制定信息泄露安全策略。在业务中一个连接向外输出同一个用户的多个信息,或者不同用户一种或多种信息时进行即时的短信报警。
2、制定严格内容解析策略防止通过正常的HTTP访问或者数据库格式文件下载的方式向外输出敏感信息。
3、记录每条涉及敏感信息请求的访问日志,便于日后查询。使用深信服NGAF业务系统敏感信息防泄露解决方案,能够审计无论是HTTP协议的正常访问或是数据库文件中敏感信息的查询信息,提高了网上银行应急响应的保障能力,有效的保证了网上银行敏感信息的安全。
深信服山东金牌代理——济南康龙汇网络系统集成有限公司
第三篇:VSP防泄密安全桌面方案
政府、金融、随着社会信息化进程的加快,企业等多个行业均将信息化建设提升到了发展战略的重要位置上,信息化水平成为衡量行业现代化建设和综合竞争力的重要标志。网络的普及让信息的获取、共享和传播 更加方便,同时也带来了更多的安全风险,包括外部的入侵威胁以及内 部的数据泄密威胁。人们往往注重网络外部的安全防护,部署防火墙、入侵检测等产品以防止外部入侵威胁,但对于内部泄密行为,如通过 Mail 或 U 盘将一些敏感文件发送给其他人等安全威胁,没有采用相应 的措施进行防范。近年来泄密事件频发,企事业单位内网安全威胁正在逐年增加。据调查 显示,有超过 85%的安全威胁来自组织内部。研发的开发代码、企业的 决策信息等轻易流失在外,给企业带来巨大的经济损失;泄密事件导致 企事业单位公众形象下降,甚至招致法律风险。因此,对企业重要效益来源的内网核心机密数据的管控尤为重要。
应用背景
深信服VSP防泄密安全桌面
随着内网泄密事件的频繁发生,内网安全受到了越来越多的关注。各类不同的内网防泄密方案层出不穷,如物理隔离、DLP技术、防水墙、全盘加密、DRM技术、虚拟化方式等。但这些方案都存在着诸多不足之处:
物理隔离:针对终端对业务数据的访 问,采用物理隔离方式,可以将办公网 和互联网分开,但需要跨网使用时,频 繁的环境切换带来不便;同时此方式,必须采购两套设备,建设、管理、维护 成本高。
DLP 技术:通过文件数据内容特征匹 配算法,建立起一套匹配规则来定义不 同安全等级的文档,进而对不同安全等 级的文档进行全方位防护的安全技术,但在实际测试过程中的误报率普遍都 偏高,测试效果不佳。
防水墙:针对防止内部信息泄漏而设 计的安全方案,防护范围覆盖了网络、外设接口、存储介质和打印机构成信息泄漏的全部途径,与防病毒产品、外部安全产品一起构成较为完整的网络安全体系,但是无法实现对不同涉密系统的访问权限控制和数据区分。
全盘加密:通常采用磁盘级动态加解密技术,通过拦截操作系统或应用软件对磁盘数据的读写请求,实现对全盘数据的实时加解密,从而保护磁盘中所有文件的存储和使用安全,但是这种方式会将所有数据进行加密存储,一旦软件系统损坏,所有的数据都将无法正常访问。
DRM技术:实现了针对具体文档的具体用户,具体访问权限进行细粒度的控制,保护范围覆盖了数据文档的完整生命周期和传播方式。但这种技术无法对权限的设定者进行控制,完全依赖于文档作者的自觉性。
桌面、应用虚拟化:通过桌面虚拟化、应用虚拟化的方式,实现对业务系统的隔离防护,安全性较高。然而采用这种方案,后台需要大量服务器,成本投入很高;需要改变现网结构,部署较为繁杂。
VSP(VirtualizationSecurity Platform)
是深信服最具前瞻性的虚拟化安全平台。该平台以完美契合客户业务流
程为 设计出发点,借助虚拟化技术在用户的 默认桌面生成一个虚拟
面,通过此桌面访问业务系统,构建一套与风险完全隔离的、最具效率
和性价比的核心业务网络,避免业务流程中核心业务数据泄漏的风险,最大化保障组织信息安全。
VSP 通过单一设备的强认证、主从绑定、权限划分等功能来实现整个业
务流程中各个环节的用户访问控制,再借助安全桌面来实现核心业务系
统和本机计算机、外设、以及其他网络之间的完全隔离,不影响用户办
公操作,具有更高的性价比和业务可行性。
对于安全性要求较高的政府、金融等 行业客户,深信服 VSP 结
合上网安全桌面 SD 推出了安全桌面统一终端虚拟化方案,针对不用的业务系统,可以采用不同的安全功能的安全桌面进 行访问:
互联网业务:采用上网安全桌面SD访问互联网,实现病毒隔离,防止
互联网的风险进入内网。
内部系统业务:
采用防泄密安全桌面 VSP 访问内部的ERP、OA 的核心业务系统,实现
内部 数据的防泄密,防止数据落地到终端后通过各种方式泄密。
通过不同的安全桌面访问不同的业务系统,实现在终端的多业务风
险隔离,确保了终端的安全性;同时也满足了监管部门对信息化安全的要求,保障办公网涉密系统数据的安全性,规范员工的互联网访问行
为,保障终端计算机系统和内部网络免受互联网病毒和木马的威胁,提
高行业信息化安全管理制度的落实和执行。
系统访问保护
VSP部署于重要的系统服务器前面,终端访问核心业务必须先登录VSP。
用户经过认证之后在防泄密安全桌面中访问业务系统,业务数据无法到
达真是的物理终端,从而对重要的业务系统及数据都起到了保护作用。
泄密操作拦截
对可能泄密的操作进行拦截,重要的工作数据只能放在防泄密安
全桌面中进行编辑、查看等操作、无法把个种业务数据拷贝到默认桌
面,无法使用各种外设进行拷贝泄密,防泄密安全桌面与互联网隔
离,在安全桌面中也无法通过截屏、录屏等方式获取业务系统中的资
料,有效地保证了数据的安全性。
数据加密保存
部分用户需要保留VSP桌面内数据,VSP会对数据行高度的加密保存在默 认的桌面内,以便于用户下次再开启安全桌面环境内自动解密后继续上
次未完成的文档操作等。此时就算将文档拷贝到其他计算机业无法获取
文件信息,且由于防泄密安全桌面进行加密的密钥时绑定用户的,因此
该文件在其他用户的防泄密的安全桌面内也无法打开,提高了数据的安
全性。
自动删除数据
业务系统访问完毕后,退出防泄密安全桌面时,其中遗留的业务文件将
会被自动清除。留在原有硬盘文件中的机密信息,也会被自动清除,有
效降低了业务系统的安全风险。
支持离线访问
部分用户在出差或是无法访问网络的情况下,由于无法访问VSP,因而不
能进行登录。出于灵活办公的需要,VSP提供了离线访问的功能。深信服
通过提供离线登录U-Key来实现离线访问,其中保存有防泄密安全桌面环
境、用户ID、用户的密钥、U-Key使用总时长以及授权策略等信息。当用
户在无法访问网络或VSP时,可以使用深信服的U-Key轻松打开本地的数
据,使用便捷,满足用户灵活办公的需要。
支持明文导出
一些研究或企业开发部门需要将防泄密安全桌面内的开发的文件再回
传至业务系统,进行工作组中的共享或者需要与外部客户进行文档交
换,而防泄密安全桌面内的加密文档是不方便用户间的信息流转的。
VSP虚拟化安全平台支持将文件明文导出至物理桌面,通过解密的明文
文档在用户之间流转,且支持明文导出的审计或审批,实现用户和行
为的课追溯,从而完美满足了用户需求。
完善的数据安全措施
1.完全逻辑隔离,保障核心业务系统及数据的安全;
2.安全接入、安全传输、安全访问多维度安全控制手段;
3.安全桌面内的数据加密保存于默认桌面内;
4.灵活的数据安全策略调控;
轻量级虚拟化方案
1.10%以下的CPU占用率(单核),521M内存的电脑即可运行;
2.支持旁路、网关方式部署,对现有网络没有影响,易于快速实现上
线部署;
3.支持win 32位、64位系统的管理员及USER权限下对防泄密安全桌面的操作;
4.支持自动监控、自动恢复、实时告警,便捷管理的维护及升级;
卓越的用户体验
1.对用户使用习惯影响小,易用性高; 2.对网络依赖小,支持离线访问;
3.轻松实现默认桌面、安全桌面的切换;
4.支持明文导出,方便业务交互;
较高的性价比
1.利用现有设备,无需额外采购服务器; 2.用户并发数性能高;
3.支持非对称集群,保护前期投资;
4.日常维护量小,降低运维成本
第四篇:现代网络信息安全当前泄密的主要途径
(―)电磁辖射泄密
几乎所有的电子设备,例如电脑主机及其显示器、投影仪、扫描仪、传真机等,只要在 运行工作状态都会产生电磁辖射,这些电磁辐射就携带着电子设备自身正在处理的信息,这 些信息可能是涉密信息。计算机福射主要有四个方面的脆弱性,g卩:处理器的辖射;通线 路的辖射;转换设备的辖射;输出设备的辐射。其中辐射最危险的是计算机显示器,它不仅 福射强度大,而且容易还原。经专用接收设备接收和处理后,可以恢复还原出原信息内容。对于电子设备福射问题的研究,美国科学家韦尔博士得出了四种方式:处理器的辖射;通信 线路的辐射;转换设备的福射;输出设备的福射。根据新闻媒体报道,西方国家已成功研制 出了能将一公里外的计算机电磁福射信息接受并复原的设备,这种通过电磁辖射还原的途径将使敌对分子、恐怖势力能及时、准确、广泛、连续而且隐蔽地获取他们想要的情报信息。此外,涉密计算机网络如采用非屏蔽双绞线(非屏蔽网线)传输信息,非屏蔽网线在传输信 息的同时会造成大量的电磁泄漏,非屏蔽网线如同发射天线,将传输的涉密信息发向空中并 向远方传播,如不加任何防护,采用相应的接收设备,既可接收还原出正在传输的涉密信息,从而造成秘密信息的泄露。(二)网络安全漏洞泄密
电子信息系统尤其是计算机信息系统,通过通信网络进行互联互通,各系统之间在远程 访问、远程传输、信息资源共享的同时也为敌对势力、恐怖分子提供了网络渗透攻击的有利 途径。由于计算机信息系统运行程序多,同步使用通信协议复杂,导致计算机在工作时存在 着多种漏洞(配置、系统、协议)、后门和隐通道等,极易被窃密者利用。大型软件每1000-4000 行源程序就可能存在一个漏洞。存储重要数据的信息系统一旦接入网络(互联网、通信专网等)时,就有可能被窃密者利用已经存在的漏洞进行网络扫描、渗透攻击,从而达到远程控制系统主机的目的。我国的计算机技术先天技术不足,如果是窃密者人为的预留后门、通道 和漏洞,将对我国的信息安全造成极大的威胁。“黑客”可以利用网络中存在的安全漏洞,轻松进行网络攻击,包括进入联接网络的计算机中进行窃密,或者利用“木马”程序对网络上的计算机进行远程控制;把远程植入木马的计算机作为跳板,蛙跳式攻击和窃取网络内其他计
算机的信息,有的对重点窃密计算机进行长期监控,被监控的计算机一旦幵机,涉密信息就 会自动传到境外主机上。近年来,安全漏洞层出不穷。根据国内某权威网站安全测评机构的 抽样调查显示,我国大约有75%的网站存在高风险漏洞,全球大约有40%的网站存在大量高 风险漏洞。利用黑客技术通过这些漏洞就可以入侵某个网站,取得管理员权限后,即可篡改 网页内容或窃取数据库信息。许多漏洞都会造成远程恶意代码的执行,成为黑客远程攻击的 重要途径。统计数据表明,因未修补漏洞导致的安全事件占发生安全事件总数的50%。(三)移动存储介质泄密
移动存储介质,包括优盘、移动硬盘、mp3、mp4、数码相机、记忆棒等,具有存储量大、使用方便的特点,目前在涉密单位使用非常普遍,同时也存在着很多安全隐患。信息科技产 品日益普及的同时,存储在这些数码科技产品中的涉密信息也日益增多。这些数码存储介质、存储载体如果使用和管理不当就很容易造成信息泄密。当前比较流行的一种恶意程序叫“摆渡木马”,摆渡木马感染的主要对象是优盘,感染了摆渡木马的优盘在互联网计算机和涉密网计算机之间交叉使用时,就会造成涉密信息外泄。摆渡木马的工作原理是,一开始,摆渡木马会以隐藏文件的形式跟随其他正常文件一同复制到优盘内,当用户将该优盘插入涉密计算机上使用,该木马就会在计算机后台悄悄地自动运行,按照事先配置好的木马工作方式,把涉密计算机内的涉密数据打包压缩之后,以隐藏文件的形式拷贝到优盘中,当用户把该优盘插到互联网计算机时,该木马就会自动将存储在优盘内的涉密信息自动发往互联网上的特定主机。移动存储介质的特点是重量轻、占地小、携带方便,可以存储和拷贝数据较大的涉密文件资料并且随身携带,但泄密隐患也较大。随着存储介质存储容量的增大,能够存储的涉密信息量也逐渐增多,一旦出现意外,将导致大量国家秘密泄露,将会造成巨大的损失。(四)多功能一体机泄密
现市场上使用广泛的的数码复印机是集打印、复印、传真等功能于一身的多功能一体机,都装有用于存储复印内容的硬盘存储器,从而造成了公共部门涉密信息泄密的一种途径。这 类设备在涉密单位的应用比较普遍。新一代数字复印机配置了内存或大容量硬盘,有的容量 高达几百亿字节,可以存储十几年复印过的所有文件内容,如管理不当,极易造成泄密。不 久前,美国政府发了一个文件,禁止政府部门使用日本“佳能“复印机,就是为了防止数字复印机带来的泄密问题。在使用和维护设备或需更换零部件时,将存有秘密信息的存储设未 经专业处理或无专人监督的情况下被带走修理,或修理时没有技术人员在场进行监督,都有 可能造成泄密。淘汰报废的复印机或多功能一体机设备上可能配备有存储硬盘,这些存储硬 盘一旦在社会上流失,必然会发生失泄密事件。多功能一体机具有传真、扫描、打印、复印 和信息存储等功能。如果在使用传真功能时,将普通电话线路连接到处理涉密信息的多功能 一体机就会导致涉密信息在公共电话网络上进行传输,境外敌对势力、恐怖分子甚至可以通 过普通电话线路远程控制机器,从而窃取存储的有用涉密信息,造成泄密。(五)无线设备泄密
计算机无线设备主要包括两类:一类是部分或全部采用无线光波这一传输媒质进行连接 通信的计算机装置;另一类是部分或全部采用无线电波这一传输媒质进行连接通信的计算机 装置。无论是笔记本电脑还是台式电脑只要能够启用无线联网功能,在机器正常工作运行状 态下,无需任何人工操作就可联接无线LAN,进而联接INTERNET。不知不觉地,这些联网 的笔记本电脑或者台式电脑就很容易被他人远程控制。即使无线联网关闭,也可以使用技术手段将其激活,从而窃取可利用信息。无线网卡、无线键盘、无线鼠标和蓝牙、红外接口都 属于这类设备。无线路由器、无线键盘、无线鼠标等设备,信号传输均采用开放式的空间传 输方式,信号直接暴露于空中,窃密者可利用特殊设备进行信息栏截,获取信息内容。即使 传输信号釆用了加密技术,也可能被破解。(六)利用数据恢复技术窃密
数据恢复是指运用相关软件和硬件,对已删除的、已格式化的或者因介质损坏丢失的数 据进行还原的过程。普通优盘、硬盘、磁盘阵列等存储介质数据即便被删除或格式化处理,窃密者可以通过专用软件、硬件设施进行数据恢复,从而实现窃密。在现实工作当中,经常 有涉密计算机等办公自动化设备中的涉密信息被简单删除或格式化处理后就作为非涉密存储设备使用的现象,这种做法也很容易造成泄密。在所有的存储设备中均有磁介质,磁介质具有剩磁效应,数据即可被复原。在操作的的过程中,我们用的简单的“删除”命令,只能删掉文件名,不能清除数据,在存储设备中,其实就是在文件目录表中对该文件加了删除标志,标识该文件所占用的扇区为空闲,磁盘上的原来数据还存在,仅是重新分配了文件FAT表而已;硬盘分区,也是同样的原理,仅是修改了文件引导信息,大部分数据还留存;即使是采一般“格式化”或覆盖写入其他信息后,通常所说的格式化程序(例如Format),通过专有技术设备,仍可以将原涉密信息复原出来。硬盘数据经删除、分区或格式化后,用户误以为数据被删除,但其实未然,技术人员可以用工具将原来硬盘上的数据进行恢复。就是经消磁十余次后的磁盘,技术人员仍然可以通过手段恢复原有数据。因此,当涉密存储设备的磁盘被重新使用时,很可能被别人利用,造成涉密信息泄露。未经专业销密就擅自处理,存在严重泄密隐患。在淘汰旧的涉密计算机和涉密存储介质(软盘、光盘、U盘)时,要按有关规定进行销毁,不能简单地丢弃,否则极易造成泄密。(七)人员泄密
工作人员泄密通常是在安全保密责任意识不强、思想马虎大意、操作技术不熟练、违反 操作规程等情况下造成信息泄密。这些泄密的工作人员主要包括所有能进入信息系统的网络 管理员、维护人员、操作人员、编程人员等内部人员以及从事信息系统安装、部署、实施的 外部厂家人员。
人员泄密的表现和原因主要有三种类型:(1)无知泄密。(2)违规泄密。(3)故意卖密。
第五篇:论系统防控如何为信息安全保驾护航
论系统防控如何为信息安全保驾护航
业务支撑中心 赵磊
【摘要】
近年来,安全生产在企业中的地位越来越高,对于通信行业单位信息安全尤为重要。随着全国范围4G业务的开放,4G时代已然来临,同时带来了新业务的飞速发展,中国移动也面临了前所未有的机遇和挑战。在信息飞速发展的时代,信息安全和通信行业单位息息相关,如何做到运营系统安全防控是现阶段亟需解决的问题。本文分析了中国移动运营支撑系统安全防控现状及面临的挑战,我们必须建立全新运营支撑系统风险管控体系,我们通过网络安全域规划、信息资产保护、数据安全防控体系建立等方面阐述了如何建立全新的运营支撑系统风险管控体系,进而实现系统防控为信息安全保驾护航。
关键词:安全生产,系统防控,信息安全,运营支撑
目录
一、安全生产管理的重要性............................................................................................2 1 运营生产安全重要性.......................................................................................................2 2 信息安全重要性...............................................................................................................3 3 运营支撑系统安全重要性...............................................................................................4二、三、现代运营支撑系统安全防控面临的挑战................................................................5 建立全新运支系统成为信息安全卫士....................................................................7
3.1 全新运支系统搭建策略...............................................................................................7 3.2 全新运营支撑系统风险管控体系...............................................................................9 3.3 全新安全管理一体化.................................................................................................13
四、结束语......................................................................................................................15
【引言】
安全生产管理作为现代企业文明生产的重要标志之一,在企业管理中的地位与作用日趋重要。从一定意义上说,安全生产管理的成败直接关系到企业的生存与发展。如何搞好安全生产,提高企业管理水平,是大家共同关心的大事。因此,正确理解与认识安全文化建设在安全生产管理中的重要作用,通过加强安全文化建设,促进安全生产管理的有效开展,具有十分重要的现实意义。
一、安全生产管理的重要性
安全生产管理[1]是避免企业财产损失、环境免遭破坏、人员免受伤害,实现稳定生产,利益最大化和创造良好社会效益的重要手段。安全生产管理作为现代企业文明生产的重要标志之一,在企业管理中的地位与作用日趋重要。从一定意义上说,安全生产管理的成败直接关系到企业的生存与发展。如何搞好安全生产,提高企业管理水平,是大家共同关心的大事。因此,正确理解与认识安全防控建设在安全生产管理中的重要作用,通过加强生产安全建设,完善信息安全体系,促进安全生产管理的有效开展,具有十分重要的现实意义。1 运营生产安全重要性
企业管理的重要组成部分就是安全管理,随着社会的发展和进步,企业形态也逐步向现代型企业转变,安全越来越被社会和企业所重视,安全管理在企业发展过程中的地位也原来越高了。一个企业要实现良性的、持续的发展,安全工作就不可忽视,不管是从建立企业的健康形象,还是从保护员工的生命财产安全着想,企业安全管理工
作的重要性和必要性都是不言而喻的。2 信息安全重要性
对于通信行业的安全生产,信息安全才是安全生产的重中之重。信息安全指的是信息的保密性、完整性、可用性和可控性的保持。是一个关系国家安全和主权、社会稳定、民族文化继承和发扬的重要问题。其重要性,正随着全球信息化步伐的加快越来越重要。具体到一个企业内部的安全管理,受业务发展迅速、人员流动频繁、技术更新快等因素的影响,安全管理也非常复杂,经常出现人力投入不足、安全政策不明等现象。随着信息产业的高速发展,众多企业、单位都利用互联网建立了自己的信息系统,以充分利用各类信息资源。但是我们在享受信息产业发展带给我们便利的同时,也面临着巨大的安全风险。我们的系统随时可能遭受病毒的感染、黑客的入侵,这都可以给我们造成巨大的损失。
图1 信息安全风险
信息安全的重要性体现在4个重要性,即保密性、完整性、可用性和可控性。保密性是指数据不泄露给未授权的用户、实体和过程,或利用其特性。完整性是数据未经授权就不能进行改变的特性.存储
器中的数据或经网络传输后的数据,必须与传输前的数据在内容与形式上保持一致,保证信息系统上的数据保持完整、未受损的状态,使数据不会因为有意或无意的事件所改变和破坏。可用性是指非授权访问的攻击者不能占用所有资源而阻碍授权者的工作,需要时就可以取得数据、访问资源,是网络设计和安全的基本目标。我们员工有各自的账号,密码,在登陆系统是都是需要自己手机短信验证码,确保密码遗失,他人无短信验证码,无法登陆,同时也确保了账号的安全性。可控性指可以控制授权范围内的信息流向及行为方式,首先,员工的岗位不同所拥有的系统访问,操作权限就有所不同,这就通过访问控制和授权来实现的。其次,每个员工都有固定的工号,在员工离职后就会立即收回此工号的所有权限,防止资料外泄。
随着计算机技术的飞速发展,信息安全已经成为社会发展的重要保证。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性,信息的安全关系着我们每个人。3 运营支撑系统安全重要性
运营支撑系统是通信行业软实力的重要组成部分,其安全运行已经成为整个企业战略目标能够顺利实现的重要保障。因此,如何保证各运营支撑系统中网络架构的安全性、健壮性,数据信息的保密性、完整性、可用性、真实性,安全事件的可控性,是企业实现运营支撑系统安全的首要任务。
二、现代运营支撑系统安全防控面临的挑战
在通信行业信息安全体系中,运营支撑系统安全防控是至关重要的。随着信息化进程的逐步深入,信息安全已成为大家的关注点,整体基础防控已初步形成,但运营支撑系统的安全依然存在不少问题。运营支撑系统漏洞,各类变异病毒的黑客入侵等安全威胁会因为支撑系统的升级、调整而更加频繁地出现。换句话说,整合调整后的支撑系统如果不解决安全问题,就必然会导致安全事件的发生。在新支撑系统的安全体系建设上可能会出现以下四个问题: 1.安全体系的整体规划缺乏
由于通信行业的不断、快速发展会导致通信行业的支撑系统不断改造、升级,其功能需求、网络组织、技术架构都可能发生改变。各个部门都会提出大量的需求,而更多的厂家会提供无数的解决方案。这期间也可能会针对某项功能提出一些安全要求,但缺乏对安全体系的整体规划,没有制订一个全面可靠的安全实施计划。
多数人会误认为安全体系的建设应该是随需而动,这种认识是缺乏对安全体系规划必要性的认知,缺少主动防控意识。往往制度安全防控方案的主管都不是安全专职主管,还要兼职其他工作,因此制定的安全解决方案常常是仅考虑局部效果和工期,安全系统的实际效果,扩展性、稳定性不能尽如人意,管理部门不得不加班加点,弄出很多临时方案或者补丁方案,反过来使得整个安全体系更加复杂难以整改。
2.安全设备分散,安全维护成本高
在支撑系统不断改造、升级过程中,针对某些安全问题或者应用会匹配安全设备。在安全设备部署时,分散在各部门,各自使用,没有统一管理。在制订计划时,很少认真衡量、预估安全体系的建设管理成本和维护成本,随着支撑系统安全需求的不断增加,成本也在年年攀升,而安全防控质量并没有本质改变。3.缺少第三方权威机构的安全评估
目前,安全方案的预评估工作在安全方案设计中的地位越来越高。多数支撑部门或者安全部门往往在考虑安全项目时,没有做好对安全需求、安全现状评估的前期工作,就提出了所谓的安全解决方案。提出的安全解决方案最常见的方式就是在自身与外界的边界配置防火墙,仿佛有了这些安全设备就等于躲进一间堡垒之中,可以高枕无忧了,这实际上是对防火墙等设备应用场合和能力认识上的误区。
把大多数精力和预算都放在了方案和设备上,没有意识聘请第三方安全权威机构进行安全评估,出现事倍功半的情况。4.重技术防控、轻人员管理
部分企业花大钱引进了良好的技术设施,但并不等于降低了对安全体系管理制度和维护人员的要求。恰恰相反,任何一个安全体系是不可能独立于企业管理体系之外,进一步讲,安全体系建设应该永远围绕技术是为管理服务这一根本来展开的。
如果不能切实提高所有员工,尤其是管理层在安全方面的警惕性,不花大力气培训安全部门的人员以便他们有能力实施、操作和维
护,系统重组后必然会造成安全体系的建设与维护滞后,不能及时满足新支撑系统对于安全能力与质量的需求。
当前,我们面临的安全问题大多是因为没做好人员安防导致的,即内部员工利用合法权限、通过合法渠道做非法的事。客户和员工的隐私数据、技术财务方面的公司机密,都会因为人员大量且频繁流动而存在泄漏可能,更不用说在支撑系统的调整、升级过程中,大量厂家技术人员的参与。如果把心力与预算都用在建立严密的周边安全和阻挡外部攻击上,必然会造成安全防护能力的先天缺失。
三、建立全新运支系统成为信息安全卫士
4G时代业务竞争环境下,建设一套打破旧有格局、全新的支撑业务安全运营的新一代运营支撑系统,对企业的信息安全管理至关重要。
3.1 全新运支系统搭建策略
各运营商在搭建支撑系统安全体系时,会由于运营支撑系统的系统策略、安全体系的技术架构、未来发展规划的不同而有一定差别。因此应该对调整后的运营支撑系统安全体系的建设原则和应对策略进行深入分析,将安全风险扼杀在摇篮里。1.整体规划策略
在安全建设过程中,常会提到“木桶理论”[2],就是说最容易发生安全事件的地方就是安全措施最薄弱的地方。假如我们依照这一理
论去指导支撑系统的安全建设,必然会有出现一个安全漏洞就去修补一个安全漏洞的现象。
安全隐患是多层次多维度存在的,安全保护的对象不仅涉及设备、数据,还涉及人员、制度等,还有安全需求也是多方面的。因此,只有从客观与综合的角度去审视、对待和分析,才可能制订行之有效的方案。2.整合分散策略
因为运营支撑系统的模型复杂,涉及部门较多,不同时期侧重点也不同,企业可能采用阶段实施、逐步整合的建设原则,改变原有安全系统部署,出现各自实施的局面。
整合与集中的安全设备部署方式,一方面可以从整体统一新支撑系统的安全策略,降低进而避免现有分散建设模式下出现安全漏洞的可能性。另一方面,也解决了安全策略不能及时贯彻全局的问题,在提高安全管理效率的同时降低设备采购和维护成本。3.预估安全策略
随着信息时代的不断发展,安全隐患的威胁也越来越大,对运营支撑系统的安全要求也越来越高。安全需求不仅会时常变化,而且要求安全响应的时间也越来越短,所以,我们的支撑系统安全体系的网络架构、应用功能、处理能力应该具备较强的扩展升级能力。这就要求在进行安全体系的规划和建设时,应该充分对系统安全策略进行定性分析,对可能承担的风险进行提前预估,并适当超前当前系统的规模和风险控制能力。只有这样,才能有效避免安全体系不断地更换升
级和被动响应,从而对安全策略、安全制度的落实提供有力保障。4.完善安全策略
运营支撑系统安全体系的建设不可能一步到位,它是一个逐步完善逐步深入的过程。在行业内经常采用的P2DR安全模型[3],可以完全说明了这个问题。P2DR是可适应网络安全理论(动态信息安全理论)的主要模型,主要包含四个主要部分:Policy(安全策略),Protection(防护)、Detection(检测)和Response(响应)组成了一个完整的、动态的安全循环,在安全策略的整体指导下保证信息系统的安全。也就是说,我们在安全体系建设完成后,应该对安全体系进行有效监控、定期测试和不断改进,并遵照安全模型来调整安全策略和完善安全体系,以应对不断出现的新安全威胁,使安全策略能够长期有效。3.2 全新运营支撑系统风险防控体系
在支撑系统部署防火墙、防病毒、入侵检测、萨班斯、安全审计、终端管理、4A、ISO9000......的过程中,在人员和资金都不是问题的情况下,哪些是应该先做的?哪些可以稍微推后,都是安全管理部门、安全主管经常思考的问题。如何围绕主线,抓住重点,分主次,是解决安全体系规划和建设的首要问题。
引用经济学家帕累托的“80/20”法则[3]来回答这个问题,即80%的基础安全问题可以通过20%的代价来解决,剩余的20%安全问题需要付出80%的代价来解决,所以在重组初期,安全体系呢。规划和建设首先要用小的代价来解决大部分安全问题。
运营商需要明确验证安全体系的三条标准。标准一,能够应对大多数的安全威胁,在遭遇较为严重的安全事件时,能够准确定位、多维监视、及时应对。标准二,能够将安全现状和历史事件以数据形式表示,进而为安全体系的调整和完善提供依据。标准三,各个组成部分能够在安全策略的统一指挥下协同响应,共同工作。
同时,运营商还必须要掌握安全体系建设方法论,也就是搭建一个合理完善安全体系的正确方法与途径。
图2 安全体系能力成熟度模型
[4] 从安全体系能力成熟度模型[4](如图1所示)来看,模型的纵轴表示在安全体系建设中所采用的技术手段或者部署的安全设备,模型的横轴表示配置不同安全技术手段能够使安全体系能力达到的不同阶段。从模型中可以看出,必要和基础的技术手段,如物理安全、边界防护、病毒防护、访问控制、AAAA,对于迅速提升安全能力是非常有效的。可当需要达到冗余安全、可视安全、自动安全时,就需要付出相当的代价。
当然,无论是纵轴上的各种技术手段还是横轴上的能力阶段,都存在重叠或者空缺的可能性。但是,安全体系能力成熟度模型还是在总体上反映出技术手段与安全能力之间的对应关系,同时也提出了规
划和建设安全体系的基本步骤,以及在支撑系统整合和重构的初期应该配置的基本安全手段。根据安全体系能力成熟度模型,基础安全和有效安全是支撑系统对安全体系的最基本要求。明确目标以后,运营商就应该分阶段地开展安全防护建设,并优先解决最基本最普遍的安全威胁。
1.实现网络安全域全面规划
在运营支撑系统不断调整、升级过程中,往往会优先考虑支撑系统自身的功能实现,而对新用户接入,系统间信息交互,内外网互联考虑不足,存在多方面安全隐患。如何防患于未然,第一步应该做好网络安全域的全面规划。
做好网络安全域的全面规划有着极其重要的意义。首先,可以全面了解企业安全域的概况,使安全域的边界清晰;其次,可以有效加强安全域安全策略的控制力,提高应对安全突发事件的能力;最后,可以明确安全域安全设备的部署需求,提高工作效率。实现安全域的划分,理清支撑系统中不同安全级别的工作角色与安全需求,对将来边界安全设备,如防火墙、防病毒软件、接入管理平台等的统一部署、整体效能发挥和统一管理奠定良好的安全架构基础。2.加强信息资产保护
现代运营支撑系统的系统种类繁多,有BOSS营业系统、经营分析系统、需求管理系统、客服系统等等,使用群体复杂,支撑系统中的关键应用和重要信息一旦发生安全问题,其后果是非常严重。现使用统一的4A安全管理平台可以对运营支撑系统的各种应用资源、各
类用户进行集中管理、集中权限分配、集中审计。4A安全管理平台做为各支撑系统的防盗门,从技术上保证了支撑系统应用的各方面安全。4A安全管理平台的应用使各支撑系统有效的进行了整合,对于安全威胁进行统一防范,实现了安全管理创新。
图3 4A安全管理平台
另外,建立切实可行的安全管理制度、流程、岗位和考核机制,对于整个新安全体系的建设也是同等重要的。换句话说,安全管理体系与安全技术体系是同等重要的,企业应该以技术手段来促进管理,以管理手段来完善技术,而不是用某一种手段来固化甚至代替另外一种手段。
3.大数据背景下的建立数据安全防护体系
随着信息技术的迅猛发展,运营系统的规模迅速扩大,业务数据呈爆炸性增长。在大数据的背景下,敏感数据越发为安全防护的重点。通过建立敏感数据安全防护体系[5],使敏感信息处于可管、可控、可追溯的防护环境,确保各项业务的正常运营。
对于运营支撑系统业务数据中,针对含有敏感信息的业务数据的访问、使用、传输、转换、维护过程中对操作行为动机、身份、权限、渠道的管控尤为重要。如何做到敏感数据防护是亟待解决的问题。敏感数据防护应该从应用数据安全防护、数据库安全防护、主机数据安全防护、文档安全管理与数据安全审计这几方面入手,即可达到全面防护。以敏感业务信息防护为重点的数据安全越发成为信息安全建设的重中之重,提升数据安全防护手段,可以有效保障运营支撑系统的数据安全。
图4 敏感数据安全防护体系
[5]运营商整体的业务发展战略对于支撑系统的规划与建设影响深远。而支撑系统的发展战略对于安全体系的规划与建设也起着决定性作用。只要梳理好新支撑系统的安全要求,利用好当前已有的安全防护能力,从整体上规划新安全体系,在建设中不断完善,那么新安全体系的建设就一定能够最终取得成功。3.3 全新安全管理一体化
建立健全信息安全管理体系对企业的安全管理工作和企业的发展意义重大。信息安全管理体系(ISMS)[6]是一个系统化、程序化和
文件化的管理体系,属于风险管理的范畴,体系的建立需要基于系统、全面、科学的安全风险评估。此体系的建立将提高员工信息安全意识,提升企业信息安全管理的水平,增强组织抵御灾难性事件的能力,是企业信息化建设中的重要环节,必将大大提高信息管理工作的安全性和可靠性,使其更好地服务于企业的业务发展。1.安全管理制度普及化
安全管理规章制度是企业信息安全管理的基础工具,没有管理制度,安全管理体系的根基就没打好,更别说形成安全防控堡垒。近年来,众多企业已经有了自己的安全管理制度,但是始终在做冷板凳。企业不仅要有管理制度,而且还要使管理制度普及化,可通过管理制度手册化实现管理制度普及化,还可通过管理制度电子有奖答题方式普及安全管理知识,多种渠道、多种方式进行安全培训教育,真正是员工意识到安全管理制度的意义,激发员工安全防控潜在意识。2.安全垂直化管理
有了安全管理制度一定要有人去管理,有人去组织。没有组织,安全管理就是口号,就是散沙,无法真正贯彻、落实。众多企业并没有设立专门的安全管理部门,没有专职安全管理员,多数为综合部门兼职管理。这样会导致制度成为摆设,制度无人执行的局面。我们应以安全管理员为切入点,确立专职,企业各部门安全管理员形成树状组织架构,明确工作意义和工作职责。实现接口化管理,达到端到端支撑,以最高效的方式为信息安全保驾护航。
图5 垂直管理组织架构
3.优化应急反应机制
应急反应机制大部分企业无相关流程,存在潜在风险。我们要建立健全信息安全应急反应机制,将流程成文或上墙。流程不完善的我们要补足缺失流程。真正出现安全问题,我们能够有效快速的应对和处理,避免安全事故发生或将事故造成的损失降到最低限度的可能。这是应急反应机制存在的必要性和价值。
通过安全管理一体化建设,可有效提高对信息安全风险的管控能力,通过与等级保护、风险评估等工作接续起来,使得信息安全管理更加科学有效。信息安全管理体系的建立将使得企业的管理水平与国际先进水平接轨,从而成长为企业向国际化发展与合作的有力支撑。
四、结束语
随着计算机技术和通信技术的发展,信息时代已然到来,信息系统将日益成为企业的重要信息交换手段。因此,认清信息系统的脆弱性和潜在威胁,采取必要的安全策略,对于保障信息系统的安全性将十分重要。同时,信息系统技术目前正处于蓬勃发展的阶段,新技术
层出不穷,其中也不可避免的存在一些漏洞,因此,进行信息系统安全体系建设要不断追踪新技术的应用情况,及时升级、完善自身的防御措施。对于通信企业内部各个运营系统应加强安全应对策略,在大数据的背景下做好敏感数据的安全保护措施,不断完善安全管理制度,不断增强员工安全意识,这样才能搭建安全体系堡垒。
参考文献
【1】 韦柱志 《努力探求新形势下企业安全生产管理的新办法》[J];《安全生产与监督》
2009年06期
【2】 孙喜新 《木桶理论:元意、新解与博弈》[J];《化工技术经济》2002年 第4期 【3】 韩锐生《P2DR模型中策略部署模型的研究与设计》[J];计算机工程 2008年20期 【4】 马丽莉 《解读电信行业的80/20法则》[J];信息网络 2005年 第2期
【5】 郭林江.数据安全防护体系在业务支撑中心的实践[J].电信工程技术与标准化, 2013,(12):32-36.DOI:10.3969/j.issn.1008-5599.2013.12.009.【6】 冯登国 《信息安全体系结构》[M];清华大学出版社, 2008-9-1
点击咨询 